Юстас — Алексу

Сергей БЕЛОВ, Сергей МАРТЫНЕНКО, ООО «НВФ «БКП-консалтинг»

Украинские стандарты электронной цифровой подписи не соответствуют международным. В результате, бизнесу придется применять две разные системы: одну для общения с госорганами, а другую — с зарубежными партнерами

Схема работы с ДКЭ

Электронный документооборот немыслим без средств защиты информации, в первую очередь цифровой подписи, подтверждающей целостность и авторство документа. Иначе информация в электронном виде с точки зрения законности и права к «документам» не будет иметь никакого отношения. Реализацию идей, связанных с применением средств защиты, обеспечивают технические стандарты, от выбора которых в значительной степени будет зависеть как защищенность, так и удобство системы в пользовании.

В Евросоюзе, куда так стремится Украина, проблема внедрения единых стандартов в области использования информационных услуг государственного сектора стала предметом рассмотрения Европейской комиссии в 2003 году. Чтобы предотвратить разрыв европейского рынка из-за несовместимости электронных систем и стандартов, правил и методов использования информресурсов государствами-членами, Еврокомиссия взяла курс на применение открытых стандартов, а также продвижение международных стандартов. Речь идет о стандартах, составленных международными органами стандартизации (ISO, IEC, ITU).

Международные обязательства ЕС в этой области выражены через Соглашение ВТО по техническим барьерам для торговли, которое требует от сторон, чтобы их стандарты и правила не создавали ненужных преград для торговли и не были дискриминационными. Таким образом, взяв курс на вступление в ВТО и ЕС, Украина в области цифровой подписи обязана: применять открытые стандарты; использовать международные технические стандарты и стандарты ЕС.

Однако у нас до сих пор не принят (официально признан или рекомендован) ни один из более чем 40 международных стандартов и около 40 стандартов ЕС, связанных с инфраструктурой цифровой подписи. В Украине официально признаны 4 стандарта: один стандарт (шифрования) бывшего СССР (ГОСТ 28147-89, который до сих пор не опубликован полностью, т. е. не является открытым); два межгосударственных (Азербайджан, Беларусь, Казахстан, Киргизия, Таджикистан, Россия, Туркменистан, Украина) стандарта (ГОСТ 34.310-95, ГОСТ 34.311-95), и один стандарт Украины (ДСТУ 4145-2002). При этом ни один из них не признан в качестве европейского или международного.

В дополнение к ним утверждены приказом Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины (ДСТСЗИ СБУ) «Правила усиленной сертификации» от 31 января 2005 г. № 3 (далее — «Правила СБУ»). Это некая попытка придать стандартную форму сертификату ключа (подробнее см. стр. 36), допускающая различные технические решения по формированию такого сертификата.

И как следствие полного непонимания роли стандартов в Украине сложилась неевропейская практика в области электронной подписи. В качестве примера можно привести решения, реализованные Центральным заверительным органом Украины (аккредитует центры сертификации) и аккредитованным центром УНИС, которые уже отличаются друг от друга по способу формирования списков отозванных сертификатов (так называемых CRL-списков). Что же будет, когда появятся другие центры, подобные УНИС?

Кроме того, в составе любого сертификата УНИС существуют 2 открытых ключа: подписи и асимметричного шифрования. Подобная реализация не отвечает стандартной структуре хранения открытых ключей в сертификатах X.509 (SubjectPublicKeyInfo). Такой особый (нестандартный) формат сертификата делает невозможным использование сертификата и ключей асимметричного шифрования УНИС с прикладными программами общего использования (Outlook Express, MS Word, MS Excel и др.). Кроме прикладных программ УНИС или разработанных совместно с УНИС.

Секретный элемент

Стандарты, принятые в Украине для ЭЦП, тоже имеют свою особенность. Как известно, для формирования цифровой подписи создается пара ключей — открытый ключ, предназначенный для проверки подписи, и закрытый (личный), предназначенный для наложения (создания) подписи. Оба ключа одной пары неразрывно связаны, при этом по открытому ключу практически невозможно вычислить закрытый. Это позволяет открытый ключ отдавать всем желающим для проверки подписи.

Закрытый ключ следует хранить в строгом секрете. Проблема в том, что алгоритмы цифровой подписи, которые приняты в Украине, имеют еще один ключевой элемент — так называемый Долгосрочный ключевой элемент (ДКЭ), который является неотъемлемой частью стандартов ЭЦП Украины, обеспечивающий стойкость алгоритма к взлому. ДКЭ выдает СБУ (пользуясь закрытой частью ГОСТа 28147-89). А уже на основании этого ДКЭ генерируются ключи пользователей. Кроме того, ДКЭ используется при наложении/проверке ЭЦП.

На рисунке (см. схему) изображены три пользователя, каждый из которых имеет свой закрытый ключ подписи (ЗК) и сертификат открытого ключа (С), заверенный некоторым (не обязательно одним и тем же) центром сертификации ключей. Смогут ли указанные лица обменяться подписанными электронными документами? Не обязательно.

Дело в том, что ДКЭ может быть для разных организаций разным. Однако для того, чтобы пользователи могли проверить цифровые подписи друг друга, они должны кроме сертификатов своих коллег знать их ДКЭ.

Существует два способа решения этой проблемы: все в Украине имеют один ДКЭ; или все ДКЭ, выдаваемые СБУ, должны быть известны всем. Во втором случае требуется ответить на вопрос: не нанесет ли ущерб стойкости алгоритмов публикация ДКЭ. До сих пор нет рекомендаций СБУ, как решить эту проблему. Если каждый производитель Центров сертификации ключей может создавать свои «специализации» в решениях, то о совместимости решений не может быть и речи.

По нормативным требованиям СБУ, долгосрочному ключевому элементу отводится один год жизни, после чего ДКЭ надо уничтожать и получать новый. Но уничтожив ДКЭ, невозможно проверить подпись на электронных документах, созданных с этим долгосрочным ключевым элементом. Следовательно, вместе с ДКЭ фактически можно уничтожать и все архивы электронных документов, т. к. срок их действия равен сроку хранения ДКЭ.

В развитых странах секретных частей алгоритмов не существует, поэтому подпись, выданная в одной стране, легко читается (проверяется) и может признаваться в другой. Алгоритмы могут быть разные, но они пронумерованы, и каждый пользователь знает какой алгоритм (открытый) используется. Например, единый для всех алгоритм RSA. Поэтому, скорее всего, в Украине для государственных нужд по-прежнему будет применяться отечественный стандарт, а для электронной коммерции — международный. Это удвоит затраты предприятий, чего как раз попытались избежать в Европе (см. Европейский опыт).

Скрытая угроза

Обратимся к примеру реализации первого аккредитованного в Украине центра сертификации ООО «НПФ «УНИС». Для асимметричного шифрования уже подписанных ЭЦП документов УНИС использует так называемый алгоритм UNIS.177005, который не отвечает ни одному из существующих в мире или в Украине стандартов — это отдельная разработка УНИС. Данный алгоритм отвечает за обеспечение конфиденциальности информации (шифрование в канале связи предварительно подписанных электронных документов).

Использование такого нестандартного алгоритма противоречит политике ЕС и делает несовместимым решение УНИС с любым другим, построенным на стандартах, в частности, ЕС. То есть обмениваться зашифрованными документами со своими зарубежными партнерами предприятие не сможет, поскольку там просто не прочитают текст без программы, разработанной в Украине. Там для сохранения конфиденциальности переписки применяется совсем другой принцип, с так называемым сеансовым ключом.

Сеансовый ключ шифруется на открытом ключе получателя и передается вместе с документом. Получатель своим закрытым ключом расшифровывает сеансовый ключ, дающий возможность расшифровать сам текст документа. Это гарантия того, что никто другой не сможет прочитать текст. (Не путать с формированием подписи, которая шифруется закрытым ключом отправителя, а проверяется его открытым ключом!)

Таким образом, применяя свой доморощенный стандарт, мы ушли еще дальше от стандартов ЕС.

Кроме того, не следует забывать о необходимости специальной программы для наложения/проверки электронной подписи, которую придется покупать у специализированных компаний, например, у УНИС. И только с таким программным обеспечением вы сможете подписать и зашифровать документ (файл). Но отправить его можно только тому, у кого есть ключи УНИС (напомним, специального формата) и дополнительное (специальное) программное обеспечение, работающее с ними (понимает специальный формат этих ключей). Ведь никакое стандартное программное обеспечение Майкрософта и других известных производителей не работает с ключами УНИС и не понимает их сертификаты.

---

Европейский опыт

А как у них?

В странах Европы, в первую очередь Голландии и Бельгии, взят курс на внедрение электронных паспортов (на чипах), включающих в себя помимо биометрической информации, ключ цифровой подписи, который можно применять в общении с государственными органами, в банковской сфере и электронной коммерции. Фактически вместе с электронным паспортом человек получает возможность не только подписывать на расстоянии финансовые документы, но и пользоваться госуслугами.

Например, регистрация автомобиля, регистрация предприятий, уплата налогов и т. п. происходят при помощи одной цифровой подписи. Таким образом, удешевляется госадминистрирование. И главное, удобно — пользователю не нужно иметь десяток ключей цифровой подписи для различных нужд, помнить секретные пароли для каждого из них.

Через налоговую — к подписи

Пример из жизни

По роду своей деятельности фирма N вынуждена ежемесячно готовить массу документов по бухгалтерской отчетности для налоговой. Все возрастающий объем операций вынудил руководство предприятия потратиться на автоматизацию бухучета, что потребовало определенных средств и времени. Зато в результате удалось автоматизировать весь процесс — от ввода первичных документов до получения отчетности. И все было бы хорошо, если бы не приходилось тратить уйму времени на доставку бумаг в налоговую, выстаивание в очередях и разбирательства по каждому документу.

Поэтому, когда на сайте ГНАУ появилась информация о том, что ЗАО «Цивилизация», ГНА в г. Киеве и ООО «НПФ «УНИС» предлагают принять участие в пилотном проекте по сдаче налоговой отчетности в электронном виде с рабочего места, радости финансового директора не было предела. Особенно подкупал рекламный слоган: «Вы не останетесь разочарованы». Поэтому после короткого совещания с главбухом и начальником отдела автоматизации было решено — участвуем!

Правда, после прочтения условий оказалось, что для участия в пилотном проекте (т. е. фактически тестировании системы) нужно получить цифровую подпись в коммерческой структуре и оплатить эти услуги «если нужно». Платить за тестирование чужой системы компания не собиралась, о чем и уведомила центр сертификации ключей. После недолгих препирательств по телефону вопрос уладили. Но, как оказалось, это было только начало целой вереницы досадных недоразумений и оплошностей.

Первые трудности начались при использовании программы, загруженной с сайта ГНАУ на компьютер бухгалтера. При заполнении «карточки владельца нового ключа» оказалось, что в ней почему-то перемешаны поля под реквизиты предприятия, данные владельца ключа и условия использования самого ключа. После заполнения программы на экране появилось окно с какими-то иероглифами. Методом «научного тыка» удалось выяснить, что программа хочет получить e-mail, который и был торжественно введен. Теперь (о, радость!) кнопка Оk нажималась. Генерация ключей прошла более-менее удачно, зато после распечатки заявки оказалось, что нужно скорректировать один из реквизитов в карточке. Но второго шанса программа не дала, предложив начать все заново. Получение подписи для директора тоже потребовало повторения всей процедуры.

Приятной неожиданностью стало известие о том, что для участия в пилотном проекте «пилотный» нотариус не требуется. Достаточно приехать в ЦСК c подготовленными документами и дискетами. Но милая девушка, взглянув на карточки, вежливо сообщила, что сертификат, загруженный нами по ссылке из документа ГНАУ, — совсем не тот, с которым нужно тестироваться. А нужный лежит на сайте центра, на отдельной страничке. В результате пришлось опять начинать все сначала и после еще одного посещения центра, наконец, вожделенные сертификаты были получены. Правда, потом оказалось, что у ЗАО «Цивилизация» надо купить программу передачи налоговой отчетности в ГНАУ. Иначе ее не отослать...

Обсудить на форуме

Вверх

Версия для печати		Отправить почтой
Оценить статью		Ваш комментарий